Ransomware: "BlackMatter"-Gang will aufhören – mal wieder
Druck von Ermittlern veranlasst BlackMatter zum Aufhören. Ein endgültiger Abschied der alten Hasen aus dem Erpresser-Business scheint aber eher fraglich.
(Bild: isak55/Shutterstock.com)
Die Ransomware-Gang BlackMatter hat in einem Untergrundforum bekanntgegeben, ihren Erpresser-"Job" an den Nagel hängen zu wollen. In der russischsprachigen Ankündigung heißt es, dass das "Projekt" aufgrund massiven Drucks von Strafverfolgungsbehörden eingestellt werde. Innerhalb von 48 Stunden wolle man die gesamte Infrastruktur der "Ransomware-as-a-Service" herunterfahren.
Der Ankündigung ist auch zu entnehmen, dass ein Teil des Erpresserteams möglicherweise nicht mehr auf freiem Fuß, aufgrund von Ermittlungsaktivitäten nicht mehr handlungsfähig oder schlicht untergetaucht ist. Umschrieben wird das mit "nicht mehr verfügbar". Opfern der BlackMatter-Ransomware will die Gang mittels eines speziellen Chats die Möglichkeit geben, sich einen kostenlosen Schlüssel zur Wiederherstellung ihrer Daten zu sichern.
Vorhersehbares Ende
Erst vor wenigen Wochen hatten Forscher von Emsisoft Opfern der BlackMatter-Ransomware angeboten, ihnen bei der Entschlüsselung ihrer Daten zu helfen. Denn dank eines Bugs in den Verschlüsselungsroutinen war es dem Team gelungen, eine Entschlüsselungsfunktion für einige BlackMatter-Varianten zu entwickeln.
Zwar hatte die Gang den Code anschließend gefixt und mit neuem Schadcode weitergemacht. Der Vorfall hatte allerdings schon ahnen lassen, wie deutlich Ermittlungsbehörden die Kriminellen auf ihrem Radar hatten: Im Zuge des Entschlüsselungs-Supports für BlackMatter-Opfer hatte Emsisoft nach eigenen Angaben nämlich über Monate hinweg mit der US-Behörde CISA sowie Strafverfolgungsbehörden, CERTs und Unternehmen aus verschiedenen Ländern zusammengearbeitet, um Kontakt zu Betroffenen herzustellen und diesen – von den Erpressern unbemerkt – zu helfen. Und im Oktober dieses Jahres hatte die CISA einen expliziten Warnhinweis vor den BlackMatter-Aktivitäten veröffentlicht.
Carbanak, DarkSide, BlackMatter.... und nun?
Die Mitglieder der BlackMatter-Gang sind keine unbeschriebenen Blätter: CISA und viele IT-Sicherheitsexperten sehen in BlackMatter einen direkten Nachfolger beziehungweise ein "Rebranding" des Ransomware-Partnerprogramms DarkSide, das unter anderem für den Ausfall der Colonial Pipeline in den USA im Mai 2021 verantwortlich war. DarkSide wiederum soll laut verschiedener Quelle von der berüchtigten Carbanak-Gang, auch bekannt als FIN7 oder Carbon Spider, betrieben worden sein und enge Verbindungen zu den Kriminellen um REvil/Sodinokibi gehabt haben. Das DarkSide-Team hatte nach dem Colonial Pipeline-Angriff die Kontrolle über einen Teil seiner Infrastruktur an Strafverfolgungsbehörden verloren und war letztlich mit kalten Füßen von der Bildfläche verschwunden.
Dass deutsche Ermittlungsbehörden einem Medienbericht zufolge erst kürzlich ein Kernmitglied der REvil-Gruppe identifiziert haben und dem BlackMatter-Team gerade jetzt offenbar Mitglieder abhanden gekommen sind, ist zumindest ein interessantes zeitliches Zusammentreffen. Insgesamt ist der Boden für Ransomware-Gangs derzeit offenbar sehr heiß und die länderübergreifende Zusammenarbeit der Behörden rege. Beispielsweise klickten im Zusammenhang mit der Ransomware-Gruppe LockerGoga unlängst gleich zwölfmal die Handschellen. Und REvil als noch größerer RaaS-Anbieter als BlackMatter ist derzeit – ebenfalls aufgrund des Drucks durch die Behörden – offline.
Vor diesem Hintergrund wirkt die aktuelle Ankündigung der neu formierten Carbanaks und DarkSides eher wie ein Rückzug auf Zeit denn wie ein endgültiger Abschied. Und möglicherweise dauert es gar nicht lange, bis einige "Szenegrößen" den Boden etwas abgekühlt wähnen und anfangen, am nächsten Rebranding zu basteln.
(ovw)